Hace unos días un amigo me mandaba la siguiente noticia que hablaba de 13 millones de cuentas robadas del servicio de hosting 000webhost:
http://unaaldia.hispasec.com/2015/10/cuando-barrer-debajo-de-la-alfombra.html
https://www.000webhost.com/000webhost-database-hacked-data-leaked (Comunicado de 000webhost)
Lo primero que hice fue comprobar si alguna de mis cuentas había sido robada y se estaba distribuyendo de alguna forma en la red. Para ello lo más fácil es entrar en “Have I been pawned?“ como ya se comentó en el post "Clef – Inicio de sesión fácil y seguro":
Efectivamente una de mis direcciones de email asociada a las credenciales de acceso que usé para hacer uso de los servicios de hosting, había sido comprometida y estaba circulando por la red. Lo siguiente que hice fue comprobar si la combinación del email y el password de la cuenta comprometida los había utilizado en otra cuenta para otro servicio. Es decir, si había reciclado la contraseña. ¡Gracias a Dios!, no fue el caso. Esto fue posible gracias a que conservo un listado de todas mis cuentas, encriptado fuertemente con una contraseña maestra acorde a la fortaleza del encriptado (actualmente existen servicios de este tipo que se denominan baúles de contraseñas). Esto me llevo a una par de reflexiones.
La primera es sobre a quien hacemos garante de nuestros datos cuando nos registramos en un servicio web. Cómo guarda la información, qué medidas de seguridad implementa el servicio, qué hace con los datos (si mercantiliza los datos)... Habitualmente confiamos en los servicios o simplemente no nos resulta preocupante lo que pueda pasar con esos datos. En la mayor parte de las veces ni se llega a esta reflexión, lo que resulta aún más preocupante.
Como segunda reflexión está el lado de los datos que decidimos introducir en el servicio web. Si son verdaderos o falsos los datos que damos (en el caso de que puedan serlo), qué tipo de credenciales de acceso usamos, si podemos eliminar la cuenta creada y el servicio borra totalmente nuestros datos aportados, así como toda la información generada... Pero lo que tenemos que tener en cuenta sobre todo, es que nunca debiéramos usar la misma contraseña en dos servicios, puesto que nunca vamos a tener la garantía de que nunca serán robadas las cuentas del servicio web y puede que tampoco sepamos con certeza las medidas de seguridad que está implementando el servicio. LA REUTILIZACIÓN DE CONTRASEÑAS NUNCA ES ACONSEJABLE EN NINGÚN CASO.
A día de hoy tenemos multitud de credenciales de acceso para diversos servicios web y es habitual caer en la mala práctica de reutilizar contraseñas. Esto es muy peligroso porque puede ser comprometida las credenciales dadas a un servicio, y que estas se usen en otro que pueda comprometer algo más que los propios datos e información que damos, como la contratación o variación de servicios contratados de manera online.
Si eres demasiado perezoso como para gestionar varias credenciales para cada uno de los servicios web de los que haces uso, te recomiendo que le eches un ojo al post:
Clef – Inicio de sesión fácil y seguro
Se trata de un servicio gratuito de autenticación e inicio de sesión único, simple y seguro.
Si tras leer este post, eres ahora un poco más consciente de lo que implica la reutilización de una contraseña, y además sabes que lo has hecho, te recomiendo el ejercicio de cambiar las contraseñas de todas aquellas credenciales de acceso para las que hayas reutilizado una contraseña.